Diferencias

Muestra las diferencias entre dos versiones de la página.

--- notas:microsoft:network_policy_server_nps [2019/08/30 14:52] – [Microsoft 802.1X] cayu
+++ notas:microsoft:network_policy_server_nps [2019/08/30 15:05] (actual) – [Configuración de clientes de red] cayu
@@ Línea 35: / Línea 35: @@
   * Un port **no controlado** nos permite un acceso irrestricto a la red.
 {{ :notas:microsoft:nps_port.jpg? |}}
+===== Instalación sugerida =====
+Podemos configurar nuestros equipos controladores de red, tanto wifi como cableada a que por cada pedido de acceso a la red, contacte al servicio autorizante.
+==== Configuración de equipos de red ====
+=== Controlador WIFI Fortinet WLC ===
+=== Switch Aruba ===
+Ejemplo de configuración en un Switch Aruba 2930M con el puerto 24 afectado por el sistema de Control de Acceso a la red, con la VLAN ID 666 como VLAN de cliente no autorizado.
+<code>
+#Define authentication host and pre-shared key.
+radius-server host 192.168.1.55 key "SecretKeyDeRadius"
+#Enable processing of Disconnect and Change of Authorization messages from authentication server
+radius-server host 192.168.1.55 dyn-authorization
+snmp-server community "public" unrestricted
+#Set selected authentication mode
+aaa authentication port-access eap-radius
+#Configure switch to use GVRP VLANs assigned by RADIUS server; prevent GVRP-enabled clients from gaining access to additional tagged VLANs
+aaa port-access gvrp-vlans
+int 24 unknown-vlans disable
+#Configure specified ports for authentication
+aaa port-access authenticator 24
+aaa port-access authenticator 24 reauth-period 5
+#Assign authenticated client VLAN to authenticator ports
+aaa port-access authenticator 24 auth-vid 1
+#Assign unauthenticated client VLAN to authenticator ports
+aaa port-access authenticator 24 unauth-vid 666
+#Configure selected backup authentication method
+aaa authentication port-access eap-radius authorized
+#Set authenticator ports to client-based mode and configure client limit
+aaa port-access authenticator 24 client-limit 1
+#Activate authentication on assigned ports with configured options
+aaa port-access authenticator active
+oobm
+   ip address dhcp-bootp
+   exit
+vlan 1
+   name "DEFAULT_VLAN"
+   untagged 1-24
+   ip address dhcp-bootp
+   ipv6 enable
+   ipv6 address dhcp full
+   exit
+vlan 666
+   name "VLAN666"
+   no ip address
+   exit
+</code>
+==== Configuración de clientes de red ====
+=== Configuración en cliente Windows para conexión cableada ===
+Para que los clientes Windows puedan autenticarse y conectarse a la red, primero deberemos habilitar el servicio de “Configuración automática de redes cableadas” : El Servicio de configuración automática de redes cableadas (DOT3SVC) se encarga de realizar la autenticación IEEE 802.1X en interfaces Ethernet. Si la implementación de la red cableada actual exige autenticación 802.1X, el servicio DOT3SVC debe configurarse de modo que se ejecute para establecer la conectividad de nivel 2 y/o proporcionar acceso a los recursos de red. Las redes cableadas que no exigen autenticación 802.1X no se verán afectadas por el servicio DOT3SVC.
+{{ :notas:microsoft:nps_windows_srv.png |}}
+{{ :notas:microsoft:nps_windows_srv_2.png |}}
 ===== Operaciones =====
 Backup de la configuración :